Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
(zwana dalej „Umową Powierzenia”)
zawarta w trybie art. 384 Kodeksu cywilnego, pomiędzy:
Podmiotem powierzającym dane osobowe zwanym w dalszej części umowy „Administratorem danych” lub „Administratorem”
oraz
xxxx.xx Spółką Akcyjną z siedzibą w Szczecinie, adres: xx. Xxxxxxx 0, 00-000 Xxxxxxxx, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy Szczecin – Centrum w Szczecinie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000431335, zarejestrowaną pod numerem NIP: 8522103252, REGON: 811158242, kapitał zakładowy w kwocie: 1.233.400,00 PLN opłacony w całości, zwaną w dalszej części umowy „Podmiotem przetwarzającym”
w toku procedury rejestracji Administratora danych w systemie informatycznym Podmiotu przetwarzającego na potrzeby korzystania z usług świadczonych przez Podmiot przetwarzający
zwanymi dalej łącznie „Stronami” lub pojedynczo „Stroną” o następującej treści:
§ 1
Powierzenie przetwarzania danych osobowych
1. W celu wykonania Umowy o świadczenie usług przez Podmiot przetwarzający na rzecz Administratora danych (zwanej dalej „Umową Główną”), Administrator danych powierza Podmiotowi przetwarzającemu, w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE(zwanego dalej „Rozporządzeniem”) dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie Powierzenia.
2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Umową Powierzenia, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia. Podmiot przetwarzający uzyskał stosowną certyfikację w zakresie ochrony danych osobowych ISO/IEC 27001.
§ 2
Zakres i cel przetwarzania danych
1. Administrator danych oświadcza, iż powierza do przetwarzania Podmiotowi Przetwarzającemu na podstawie Umowy Powierzenia dane osobowe, nie stanowiące szczególnej kategorii danych osobowych w rozumieniu Rozporządzenia, zgromadzone w utworzonych przez Administratora danych zbiorach tj. zbiorze klientów Administratora danych lub w zbiorze pracowników Administratora danych lub w
zbiorze usługodawców Administratora danych obejmujące: imię i nazwisko, XXX, XXXXX, adres zamieszkania, datę urodzenia, dane kontaktowe.
2. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu wykonania Umowy Głównej zawartej drogą elektroniczną poprzez akceptację udostępnionych regulaminów, specyfikacji usługi oraz wzorców umownych.
3. Cel i zakres powierzenia przetwarzania danych osobowych wynika bezpośrednio i ogranicza się do zadań/ czynności koniecznych do wykonania Umowy Głównej. W szczególności dane osobowe będą przetwarzane w celu zawarcia i wykonania Umowy Głównej, wykonania ciążących na Podmiocie Przetwarzającym obowiązków prawnych, wykrywania nadużyć i zapobiegania im, ustalenia i obrony oraz dochodzenia roszczeń, marketingu bezpośredniego, tworzenia zestawień, analiz i statystyk, weryfikacji wiarygodności płatniczej, obsługi reklamacji i zgłoszeń, wsparcia technicznego, rozliczeń finansowych, w tym wystawienia dokumentów księgowych.
4. Powierzone dane osobowe przetwarzane będą przez Podmiot przetwarzający w systemach informatycznych lub w formie papierowej.
§ 3
Sposób wykonania Umowy Powierzenia w zakresie przetwarzania danych osobowych
1. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
2. Podmiot przetwarzający zobowiązuje się zapewnić, aby powierzone dane osobowe przetwarzały wyłącznie osoby, którym nadano upoważnienie do przetwarzania danych osobowych w celu realizacji niniejszej umowy.
3. Podmiot przetwarzający zobowiązuje się zapewnić (zgodnie z art. 28 ust 3 pkt b Rozporządzenia), aby osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej Umowy Powierzenia, zobowiązały się do zachowania tajemnicy co do tych danych, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
4. Podmiot przetwarzający po zakończeniu Umowy Głównej, nie później niż w terminie 30 dni od zakończenia Umowy Głównej, usuwa wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego lub prawo polskie, nakazują przechowywanie danych osobowych. Zapis zdania poprzedniego nie znajduje zastosowania w sytuacji, gdy usługa objęta Umową Główną zostanie odnowiona na kolejny okres abonamentowy. W takim przypadku Xxxxxx zgodnie uznają, iż Umowa Główna trwa nadal.
5. Uwzględniając charakter przetwarzania danych osobowych oraz dostępne Podmiotowi przetwarzającemu informacje, pomaga on Administratorowi danych wywiązać się z obowiązków dotyczących bezpiecznego przetwarzania, zgłaszania naruszeń ochrony danych osobowych organowi nadzoru, zawiadomienia osoby, której dane osobowe dotyczą, o naruszeniu ochrony danych osobowych, oceny skutków dla ochrony danych osobowych, uprzednich konsultacji z organem nadzorczym, wskazanym Rozporządzeniu.
6. Podmiot przetwarzający stosuje w celu przetwarzania powierzonych mu danych osobowych środki techniczne i organizacyjne (w rozumieniu art. 32 Rozporządzenia) adekwatne do rodzaju powierzonych mu danych osobowych, zgodnie z opisem danych dokonanym przez Administratora danych w § 2 ust. 1 powyżej.
7. Jeżeli Podmiot przetwarzający otrzyma wniosek od osoby, której dane osobowe dotyczą, związany z przetwarzaniem danych osobowych, prześle taki wniosek w formie wiadomości elektronicznej do Administratora danych, w celu dalszego przetwarzania przez Administratora danych. Podmiot przetwarzający nie jest uprawniony, ani zobowiązany do samodzielnego załatwienia wniosku, chyba że co innego wynika z obowiązujących przepisów prawa, niniejszej Umowy Powierzenia lub Umowy Głównej.
8. Jeżeli Podmiot przetwarzający otrzyma żądanie udzielenia dostępu lub udzielenia informacji o danych osobowych od właściwego organu nadzorczego, dotyczącą danych osobową objętych niniejszą Umową Powierzenia, powiadomi o tym fakcie Administratora danych w formie wiadomości elektronicznej i przekaże mu w formie wiadomości elektronicznej otrzymane żądanie. Podmiot przetwarzający nie jest uprawniony ani zobowiązany do samodzielnego załatwienia żądania, chyba że co innego wynika z obowiązujących przepisów prawa, niniejszej Umowy Powierzenia lub Umowy Głównej.
§ 3a
Obowiązki Administratora danych
1. Administrator danych gwarantuje, że dane osobowe są przetwarzane w celach zgodnych z prawem, oraz że Podmiot przetwarzający nie przetwarza więcej danych osobowych niż jest to wymagane do spełnienia tych celów.
2. Administrator danych zobowiązuje się do zapewnienia, że w momencie przekazania danych osobowych Podmiotowi przetwarzającemu, istnieć będzie ważna podstawa prawna do ich przetwarzania, w tym w szczególności zgoda podmiotu, którego dane osobowe dotyczą, wyrażona w prawidłowy sposób. Na żądanie Podmiotu przetwarzającego, Administrator danych zobowiązuje się na piśmie do wskazania i / lub udokumentowania podstawy przetwarzania danych osobowych.
3. Wszelkie instrukcje dotyczące przetwarzania danych osobowych zgodnie z niniejszą Umową Powierzenia będą przekazywane Podmiotowi przetwarzającemu. W przypadku, gdy Administrator danych udzieli instrukcji bezpośrednio Podwykonawcy, Administrator danych niezwłocznie powiadomi o tym fakcie Podmiot przetwarzający. Podmiot przetwarzający nie ponosi odpowiedzialności za jakiekolwiek przetwarzanie wykonane przez Podwykonawcę zgodnie z takimi instrukcjami, jeżeli instrukcje te nie są zgodne z zasadami przetwarzania danych osobowych przyjętymi w niniejszej Umowie Powierzenia. Przekazanie instrukcji następuje w formie wiadomości e-mail, chyba że przepis prawa wymaga zachowania formy szczególnej.
§ 4
Podpowierzenie
1. Podmiot przetwarzający może powierzyć powierzone mu dane osobowe do dalszego przetwarzania innym podmiotom przetwarzającym (zwanych dalej „Podwykonawcami”) jedynie w celu wykonania Umowy Głównej. Podmiot przetwarzający jest zobowiązany poinformować Administratora danych o każdym planowanym dalszym powierzeniu przetwarzania danych osobowych oraz o wszelkich zamie- rzonych zmianach dotyczących Podwykonawców, w szczególności o zastąpieniu dotychczasowego Podwykonawcy przez innego Podwykonawcę lub o rezygnacji z usług Podwykonawcy. Powiadomienia, o którym mowa w zdaniu poprzednim, mogą być dokonywane - według wyboru Podmiotu przetwarza- jącego – w formie wiadomości elektronicznej skierowanej do Administratora danych lub ogólnego ko- munikatu na stronie internetowej Podmiotu przetwarzającego. Po otrzymaniu powiadomienia, o którym
mowa w zdaniach poprzednich, Administrator danych jest uprawniony zgłosić sprzeciw co do podpo- wierzenia danych osobowych. Administrator przyjmuje do wiadomości, iż zgłoszenie sprzeciwu może skutkować niemożnością wykonania Umowy Głównej, a w konsekwencji prowadzić do rozwiązania Umowy Głównej przez Podmiot przetwarzający z przyczyn leżących po stronie Administratora danych.
2. Podmiot przetwarzający oświadcza, że powierzenie przetwarzania danych osobowych Podwykonawcom uregulowane zostanie w stosownych umowach powierzenia, zakres powierzonych do przetwarzania da- nych osobowych i dopuszczalnych czynności przetwarzania przez Podwykonawców będzie adekwatny do określonego w niniejszej Umowie Powierzenia celu powierzenia danych, oraz nie będzie wykraczał poza Umowę Powierzenia oraz Umowę Główną, a Podwykonawcy będą stosowali środki techniczne i organizacyjne zapewniające wystarczający poziom ochrony powierzonych danych osobowych. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora danych za działania lub zaniecha- nia Podwykonawców.
§ 5
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy Powierzenia, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych zgłasza je Administratorowi danych w formie wiadomości elektronicznej, niezwłocznie, nie później jednak niż w ciągu 48 godzin od stwierdzenia naruszenia ochrony danych osobowych.
3. Podmiot przetwarzający nie ponosi odpowiedzialności za brak zgodności zastosowanych środków technicznych i organizacyjnych do rodzaju powierzonych mu na podstawie niniejszej Umowy Powierzenia danych osobowych, jeśli środki te są zgodne z rodzajem danych osobowych zadeklarowanym przez Administratora danych w § 2 ust. 1 powyżej. W razie stwierdzenia w toku wykonania Umowy Powierzenia, iż zachodzi wzmiankowany brak zgodności, Podmiot przetwarzający niezwłocznie (nie później niż w ciągu 48 godzin od stwierdzenia niezgodności) powiadamia o tym fakcie Administratora danych wzywając go jednocześnie do właściwego określenia rodzaju przetwarzanych danych. Administrator danych jest zobowiązany do zajęcia stanowiska w tym przedmiocie w terminie kolejnych 48 godzin od otrzymania powiadomienia. Do czasu dokonania przez Administratora danych odpowiedniej korekty informacji o rodzaju powierzonych danych osobowych, Podmiot przetwarzający może powstrzymać się od dalszego przetwarzania danych osobowych, jak również od świadczenia usług określonych w Umowie Głównej. Jeśli w powyższym terminie 48 godzin Administrator danych nie dokona korekty w zakresie określenia rodzaju powierzanych danych osobowych, Podmiot przetwarzający może wezwać Administratora danych do dokonania tej korekty wyznaczając mu w tym celu dodatkowy 48-godzinny termin. W razie bezskutecznego upływu tego terminu, Podmiot przetwarzający może rozwiązać Umowę Powierzenia oraz Umowę Główną bez zachowania okresu wypowiedzenia z winy Administratora danych. Korespondencja Stron w sprawach określonych w niniejszym ustępie może być prowadzona w formie elektronicznej. Powyższe nie dotyczy ewentualnych oświadczeń o rozwiązaniu Umowy powierzenia i Umowy Głównej, których formę określają odrębne postanowienia tych umów.
4. Procedurę postępowania oraz sankcje określone w ust. 3 stosuje się odpowiednio również w razie stwierdzenia przez Podmiot przetwarzający naruszenia przez Administratora danych postanowień §3a ust. 1 lub 2.
5. Całkowite i maksymalne zobowiązanie Podmiotu przetwarzającego wobec Administratora danych w związku z wykonywaniem niniejszej Umowy Powierzenia w każdym dwunastomiesięcznym (12) okresie trwania Umowy Powierzenia nie może w żadnym przypadku przekroczyć kwoty równej całkowitej kwocie zapłaconej za usługi świadczone w ramach Umowy Głównej za okres dwunastu (12) miesięcy poprzedzających zdarzenie, które pociąga za sobą odpowiedzialność. Powyższe ograniczenie nie ma zastosowania do szkód spowodowanych umyślnie.
§ 6
Czas obowiązywania Umowy Powierzenia.
1. Z zastrzeżeniem zdania drugiego, Umowa Powierzenia obowiązuje w okresie trwania Umowy Głównej i wchodzi w życie z dniem zawarcia niniejszej Umowy Powierzenia przez Strony. W przypadku, gdy usługa objęta Umową Główną zostanie odnowiona na kolejny okres abonamentowy Strony zgodnie uznają, iż Umowa Główna trwa nadal.
2. Administrator danych osobowych jest uprawniony do rozwiązania Umowy Powierzenia ze skutkiem natychmiastowym w przypadku, gdy:
a) zostanie stwierdzone prawomocną decyzją administracyjną lub prawomocnym wyrokiem sądu, że Podmiot przetwarzający naruszył zasady ochrony danych osobowych, o których mowa w Umo- wie Powierzenia,
b) Podmiot przetwarzający rażąco i wielokrotnie narusza istotne zasady przetwarzania danych oso- bowych określone w Umowie Powierzenia oraz w Rozporządzeniu.
3. W przypadku rozwiązania Umowy Powierzenia rozwiązaniu ulega Umowa Główna.
§ 7
Odpłatność
1. Z zastrzeżeniem ust. 2, czynności związane z powierzeniem przetwarzania danych osobowych wykonywane będą w ramach wynagrodzenia uzgodnionego w Umowie Głównej.
2. Określone czynności związane z powierzeniem przetwarzania danych osobowych wskazane w Cenniku, dostępnym na stronie internetowej Podmiotu przetwarzającego, będą wykonywane za odrębnym wynagrodzeniem ustalonym na podstawie stawek i kwot wskazanych w tym Cenniku.
§ 8
Zasady zachowania poufności
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy Powierzenia lub Umowy Głównej, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy Powierzenia lub Umowy Głównej .
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 9
Postanowienia końcowe
1. Zasady wykonywania prawa do kontroli i nadzoru określono w Polityce prywatności dostępnej na stronie internetowej Podmiotu przetwarzającego.
2. W sprawach nieuregulowanych Umową Powierzenia zastosowanie będą miały przepisy Rozporządzenia oraz obowiązujące przepisy prawa polskiego.
3. Dane kontaktowe Stron (w tym adresy pocztowe i elektroniczne do doręczeń) określa Umowa Główna.
4. Wszelkie zmiany Umowy Powierzenia, oświadczenia i porozumienia o jej rozwiązaniu, dokonywane będą w formie pisemnej pod rygorem nieważności.
5. Sądem właściwym dla rozpatrzenia sporów wynikających z Umowy Powierzenia będzie sąd właściwy dla powoda.